项目信息安全风险评估

项目信息安全风险评估（共8篇）

1.项目信息安全风险评估 篇一

信息安全问题影响深远，其风险评估应根据项目的特点及具体过程，且应在评估中重点加强沟通、范围、时间、成本、风险、人力资源等几个领域的管理。

3.1项目沟通管理

为了达到项目目标，项目经理首先必须通过沟通谈判从本公司获得相应的人力资源等支持;其次，为了获得客户的支持与配合，提高项目满意度，项目经理必须与客户进行有效沟通。项目的最终目标是满足或者超过干系人的需求与期望。要满足或者超过干系人的需求与期望，首先应该识别干系人，识别他们的需求与期望，制定沟通计划，在项目实施过程中管理干系人的需求与期望。

(1)识别干系人。很显然，与项目的相关程度不同，不同的人对项目信息安全风险具有不同的影响，作为客户方与项目实施方，其公司企业的信息安全风险是不一样的，一般而言客户方具有最大的影响力，公司方则次之，干系人对项目的态度也是影响项目信息安全风险的重要因素，态度一般分为无关、支持和反对三个。

(2)了解干系人的需求与期望。应该在充分了解项目背景的基础上，运用一定的方法与技巧了解干系人的需求与期望。①了解项目背景。可以咨询售前顾问、销售人员或者查阅招标时的招标书，甚至可以通过互联网获得相关信息。风险评估项目的项目背景也是复杂的，一般而言会分成很多的情况，比较常见的有项目本身实施过程中出现的信息安全事件、监管机制的不合理等。②了解干系人需求与期望的方法。马期洛需求层次理论可以帮助我们了解干系人需求与期望。通过马期洛需求层次理论可以大致了解干系人的需求，然后通过换位思考、沟通交流等手段，进一步确认干系人的需求与期望。

(3)制定沟通计划。信息安全风险评估项目需要沟通，所以需要制定一个有效的沟通计划。信息安全风险评估项目不能够随意地制定沟通计划，而应该详细地分析相关的影响因素，重点关注利益相关者的沟通情况，从而降低影响，提高效率。

(4)管理干系人的需求与期望。干系人的期望与需求也应该得到恰当的管理，最重要的是要明确期望与需求，进行类别的划分。可分为A、B、C三类：A类：必须做(need)，这一类如不做，将难以通过验收;B类：应该做(want)，这一类如不做，会影响验收效果;C类：可以做(wish)，这一类是可做可不做的，做了客户会更加满意，不做也不会影响验收。其次，在管理干系人的需求与期望时，应该遵循80/20规则，即完成20%的`任务实现80%的价值，这部分任务必须作为重点。另外，可能还有20%的任务花费80%的成本，在资源及时间允许的情况下处理此类需求与期望。再次，在管理干系人的需求与期望时也可以根据干系人的职权(权力)进行管理。①在第一象限中的干系人权力高，但对项目关注程度低，采用令其满意的管理策略。②在第二象限中的干系人权力高，且对项目关注程度高，要对其重点管理，优先满足其需要与期望。③第三象限的人员对项目关注程度高，但权力较低，采用随时告知的策略，尽量不要影响其个人利益。④第四象限的人权力低，且对项目不关注，要监督他们对项目的反应，不引起负面影响。最后，为了满足干系人的需求与期望，需要在项目范围、项目时间、项目成本、项目质量之间做好平衡。

3.2项目范围管理

范围是一个空间的范畴，一个项目管理的范围规定了一个项目的权限范围，规定了项目可以做哪些事情，而哪些事情是不能做的，实际上是对必要工作的坚持和对不必要工作的摒弃。

(1)明确风险评估范围。项目计划准备时就要考虑风险评估范围，在这一阶段就应该定义项目范围的广泛性以及纵深等内容，并且考虑客户的需求，从而明确项目管理范围。项目范围的确定不是一方所能够决定的，相反这是一个博弈的过程，应该照顾各方的利益，制定出一个符合各方利益的项目管理范围。

(2)明确风险评估成果。应该在项目开始之前，与客户将项目提交的成果及要求确定下来。一是在项目执行过程中，以此为目标;二是设定一个验收项目的标准。

(3)创建工作分解结构。顾名思义，创建工作分解结构即将解构分解，即把项目的最后结果和其工作流程明细化，从而使得每一步变得简单，更加容易操作。在信息安全风险评估项目中，第一层一般就放置项目成果，而第二层则更加侧重中间成果。显而易见，分解工作结构并不是一件简单的事情，也不是只有一种方法，各层次都是可以相互变化的。

(4)风险评估范围控制。范围是所有计划的基础。对待客户提出范围变更应该遵循以下流程：首先不能明确拒绝，然后要分析客户变更的原因及目的，快速反应变更所需要的人工及预算对时间和质量的影响，然后再做出决定。

(5)风险评估成果核实。风险评估成果核实过程应该严谨而且细心，因为这是一个正式验收项目的过程，需要由客户和项目的执行人一起认真核实项目的最终结果。

(6)取得干系人对项目范围正式认可。它要求审查可交付成果和工作结果，以保证一切均已正确无误且令人满意地完成。

3.3项目时间管理

时间管理至关重要，因为优秀的时间管理保证项目能够不延期交付。

(1)定义活动。定义活动从字面上理解就是一个识别的过程，定义识别的是在项目的实施过程中需要采取的一切实施方法和步骤。它是在工作分解结构的基础上进行细化而完成的。

(2)排列活动顺序。活动顺序涉及到的是一个排列的问题，指的是一种依赖关系，即识别和记录项目活动的依赖关系，是一种逻辑的过程。一般而言，这里所指的依赖关系指的是信息安全风险评估项目中，各个活动之间所具有的特性，如强制性、选择性和外部依赖性。确定完活动之间的依赖关系，就可以对他们进行排序了，可以采用网络图的方法来表达他们之间的顺序，常有三种关系，即完成-开始，开始-开始，结束-结束。

(3)估算活动持续时间。估算活动持续时间是一个时间上的范畴，指的是估计资源运用和消耗，以及估计完成一项活动所需工时的过程。需要根据活动的具体情况、负责活动的人员情况来进行估算。估算不能随意，应该具有严格的依据。工时估算时，常采用三点估算法。即估算工时=(最乐观时间+4×最可能时间+最悲观时间)/6。①制定进度计划。制定进度计划首先需要对所掌握的信息进行深入分析，从而确定活动的顺序，并且在时间和空间上确定一个相对准确的点，估算对资源的需求以及项目实施流程。制定一个有效的进度计划并不是件简单的事情，而是极其复杂的过程，在这期间需要一遍又一遍分析，从而确定一个合适的时间跨度，并且对项目结果有一个合适的预期。即使制订了进度计划，也不是一成不变的，而是要根据相关审查部门的意见适当地修改计划，从而使得计划在时间和资源应用上更加合理。只有审查通过以后，这个进度计划才可以说是确定下来了。信息安全风险评估项目极其复杂，很多因素无论是内部的还是外部的，都对项目有很大的影响，并且鉴于有限的项目组成员，所以需要采用一个更加合适的进度计划形式。②控制进度。控制进度的同时也是一个对项目监督管理的过程，这一过程根据进度计划的基准不断地调整项目的进程。进度控制程序：一般分为四个步骤，即先要分析一个项目所散发的状态信息;然后如果需要调整进度，就要调整影响进度的相关参数;再次分析以后，要确定一个项目是否在原定的轨道上;如果进度脱离了轨道，就要进行相应的管理。

3.4项目成本管理

成本管理包括估算成本、制定预算、控制成本三项任务。

(1)估算成本。对成本的估算需要囊括整个项目的进程，时间跨度和空间跨度上均要全面。成本估算是在某特定时点，根据已知信息所做出的成本预测。信息安全风险评估项目的主要成本是人工成本及实施直接成本，因为人工成本占了所有成本的一大部分，所以精确地估算人工成本是成本估算最基础的一面。估算人工成本有个前提，即进度计划是准确的，从而对团队成员的人工估算做到精确。项目成本即使估算出来了，也不一定是准确的，需要时时修正，因为越到了项目的后期，需要估计的越少，影响估算准确性的因素也越少，所以成本估算需要不断进行。

(2)制定预算。制定预算也是一个估算的过程，是对一个项目的所有方面进行一个全面的评估，从而为以后资金的拨付制订了基础和基准。只有制定预算，才能够根据预算的需求来划拨资金，并且影响到了项目的实施全过程和成果评估部分。

(3)控制成本。成本的控制一般而言指的是成本不应该超出预算，控制成本是一个动态的过程，是监督项目状态，从而获得有用信息以更新项目预算。项目成本控制包括：找出影响项目成本的因素，并作相应的修改;保证修改项目参数能够成功;在修改成功以后，要随时动态地监督;控制成本，使得成本控制在预算的范围之内，甚至应该精确到每一项开支;分析成本与预算成本基准之间的差距;对照资金支出，监督工作绩效;严格禁止不相关的支出，使得每一项成本都合情合理;向有关干系人汇报项目进展和成本控制的工作;即使项目超支了，也要尽量减少成本。

3.5人力资源管理

人力资源管理在一个项目执行时包括很多方面的内容，例如管理组织一个实施团队、人员分工等。

(1)制定人力资源计划。制定人力资源计划是在项目实施之前对实施项目的团队、人员、职务、报酬等方面的规划，并且对各个人和团队的责任进行详细划分。人力资源计划包含项目角色与职责记录、分成的各个部门等。一些信息安全风险评估项目执行时间比较长，因此需要更加有效的团队，这就需要对人员进行培训以及制定团队建设策略等。风险评估项目的责任分配并不复杂，可采用责任分配矩阵(RAM)，这个矩阵能够显示工作包或活动与项目团队成员之间的联系。并且根据需求的不同，制定不同层次的矩阵。

(2)组建项目团队。组建项目团队实际上是对人力资源使用和分配的过程，需要了解人力资源的各种特性，从而组建最合适的管理团队，在组建团队时需要注意：项目经理所要做的是积极地与人力资源人员进行交流，充分掌握各方面的信息，从而获得最合适和最有效率的人才。但是有时候项目经理并不能总是如愿地获得自己想要的人力资源，而是会受到如经济等其他项目对资源的占用等因素的影响，从而制约了项目的实施，作为替代，项目经理可能不可避免地使用不合适的人力资源。

(3)管理项目团队。管理项目团队是选出来运营项目的人所组成的团队，他们具有多样化的目标，例如继续学习，提高团队成员的专业技能，增强团队的执行能力从而保证项目结果的按时交付;以最低的成本完成最高质量的项目;按时完成项目，团队成员之间相互协作，增加团队效率，丰富团队成员的知识，增强其跨学科运作能力，提高团队的凝聚力，无论整体上还是个人上都有效率的提升等。项目经理在期间应该全权负责项目团队的管理运作，增加项目绩效，在团队出现问题时，分析导致问题的原因，然后解决问题。团队建设一般要经过5个阶段：

①形成阶段，这个阶段是团队形成的最初阶段，团队成员只是互相认识，并没有相应的合作。

②震荡阶段，指的是团队已经开始运作，但是成员之间需要磨合的阶段。

③规范阶段，过了磨合期以后，团队成员彼此之间逐渐适应了彼此的节奏，能够进行初步合作了，团队开始有成为一个有效整体的趋向。

④成熟阶段，这一阶段团队成员之间已经能够精诚合作，互补余缺，相互学习，团队效率较高。

⑤解散阶段，即当项目完成以后，各成员完成了职责，从而脱离团队。因为各种各样的原因，例如缺乏充足的资金、进度安排不合理、团队成员之间缺乏配合等，会造成项目环境的冲突。如果项目经理能有效管理，则意见分歧能够转变为团队的多样化管理，不仅能够提高团队创造力还有利于做出更好的决策。如果管理不当，团队之间的分歧没有得到解决，就可能会加大团队成员之间的鸿沟，从而对项目的实施产生负面的影响。要建设高效的项目团队，项目经理需要获得高层管理者的支持，获得团队成员的承诺，采用适当的奖励和认可机制，创建团队认同感，有效管理冲突，团队成员间增进信任和开放式沟通，特别是要有良好的团队领导力。项目团队管理的一些工具与技术包括：

①人际关系技能。通过了解项目团队成员的感情来预测其行动，了解其后顾之忧，并尽力帮助解决问题，项目管理团队可大大减少麻烦并促进合作。

②培训。旨在提高项目团队成员能力的全部活动，培训可以是正式或非正式的。应该按人力资源计划中的安排来实施预定的培训。

③制定管理规范，对项目团队成员的可接受行为做出明确规定。尽早制定并遵守明确的规则，可减少误解，提高生产力。规则一旦建立，全体项目团队成员都必须遵守。

④认可与奖励。如果想要提高项目团队的效率，使得每个人更加尽心和更加富有责任感，就应在团队建设过程中引进相应的激励机制，在制定项目计划时就应该考虑到团队成员的奖惩问题。在管理项目团队的过程中，团队成员的奖励不是随意而发的，而是通过项目绩效评价，以正式或非正式的方式做出奖励决定。只有优良行为才能得到奖励。

3.6项目风险管理

项目风险管理旨在降低风险，或者把风险控制在可控范围之内。其目标是尽力使得项目运行向着有利的方面转化，对消极负面的一部分则注意防范。信息安全风险评估项目不属于特别大的项目，所以一般分为识别风险、评价风险、规划风险应对、监控风险四个过程。

(1)识别风险。识别风险是风险管理的前提，是一个信息处理的过程，在这个过程中判断分析什么样的风险会影响项目。可采用核对表的方式进行风险识别。

(2)评价风险。对于信息安全风险评估项目，评价风险只需要定性评价即可。实施定性风险分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响以及其他因素来评估已识别风险的优先级。

(3)规划风险应对。规划风险应对是风险管理最重要的步骤，其规划的是项目的目标及降低风险的步骤。对于消极风险，常有回避、转移、减轻、接受四种方式;对于积极风险，常有开拓、分享、提高、接受四种方式。

(4)监控风险。监控风险是风险管理的最后一步，也是第一步，因为它是贯穿在整个项目之中，是一个制定风险应对计划、监控已知风险、加强管理以解决风险以及发现新风险的过程。

4结语

信息安全风险评估项目是个新兴的行业，整体项目管理水平有待提高。在进行项目管理时，需要结合项目特点灵活运用项目管理的知识，有些知识领域应该重点加强，有些知识领域可以适当忽略，按时、合格地完成项目，得到满意的项目结果，符合干系人的预期。

2.项目信息安全风险评估 篇二

随着信息安全技术的发展, 当前已经出现了不少风险评估方法, 在信息安全管理中发挥着作用, 但是这些方法往往无法实现定量分析, 也难以将安全体系作为一个完整的系统进行分析和评估。本文引入AHP方法来为信息系统构建安全风险评估体系, 具有比较好的理论价值与实践意义。

2 风险评价指标的构建

结合德尔菲原理, 最终构建出基于分层结构的信息安全评价指标体系, 如表1所示。层次分析法的基础便是判断矩阵的构建, 也是进行安全风险评估的关键性步骤。判断矩阵能够以阵阵的形式量化体现出本层的所有元素对于上一层指标的相关性与重要程度, 判断矩阵的构建思路是:对处于同一层次的全部影响因素ai与aj两两比较, 形成判断矩阵:

其中:

数字1、3、…9的含义是aij的标度。aij取值不同, 含义也不同:取值为1时, 表示ai与aj同样重要, 取值为3时, 表示ai与aj相比, 重要程度稍高;取值为5时, 表示ai比aj重要, 取值为7时, 表示ai比aj重要得多, 取值为9时, 表示ai比aj绝对重要。

考虑到无论是专家还是技术人员对所有指标的重要性程度进行比较时, 其判断一般而言不尽一致, 因此在得到判断矩阵之后, 接下来还需要对矩阵的逻辑一致性进行评估。结合层次分析法, 对一致性进行判断的指标算法是;在得到CI的值以后, 与平均随机一致性进行运算, 取的含义是一致性比例, 若满足, 则认为该片段矩阵的一致性处于可接受范围。平均随机一致性的取值可通过查表获得。结合以上的分析, 在得到所有元素的权重向量之后, 接着进行每一个元素对于评价目标的权重的具体序列。本文将指标的上一层命名为A层, 设该层次共有m个评估指标元素, 表示为。由此, 将A层的下一层命名为B层, 设该层次共有n个元素, 表示为, B层权重便可表示为。由此可知B层的一致性比例可以表示为:, 假若满足, 便能够认为结果处于可接受范围。

判断矩阵的构建。结合前文所阐述的判断方法, 聘请被评估机构的16位信息安全专家进行指标的评估, 结合专家的意见得到判断矩阵。然后对数据进行初步处理, 去除一些偏离过大的数值, 得到专家群体判断矩阵。此处结合信息安全评价指标体系准则层, 给出判断矩阵A如下:

再以指标层的数据安全为例, 给出判断矩阵B1如下:

篇幅所限, 其他的矩阵略。引入MATLAB, 对所有得出的判断矩阵进行归一化计算, 得到所有矩阵的权重向量。依旧以指标体系准则层判断矩阵A以及指标层的数据安全判断矩阵B1为例, 其权重向量分别是:

结合准则层判断矩阵A的权重向量, 得到其最大特征值, 由此有

故可以通过一致性检验。同理可对其余的所有指标进行权重向量的求取和一致性检验, 均通过, 此处不再赘述。最终得到综合权重向量如表1所示。

3 实例分析

结合以上的指标构建以及综合权重向量的计算, 便可以对具体机构的信息安全风险进行评估。将信息安全的风险情况分为五个级别, 分别为:A级:信息系统安全性良好;B级:信息系统较为安全;C级:信息系统安全性一般;D级:安全性比较低;E级:安全风险较大。以百分制进行级别的对应, 其关系为:A级:90——100分;B级:80——89分;C级:70——79分;D级:60——69分;E级:低于60分。

由此, 聘请该机构的技术人员, 以及安全管理专家对所有的指标项目进行打分, 并对每一位专家的分数进行加权综合计算, 最终得出其具体的安全风险分数为88.13分, 由此可知该机构的安全风险级别是B, 表示“信息系统较为安全”。结合每一个指标分值的分析, 可知其安全程度最好的项目为硬件, 稍差的项目是管理安全项。由此可以给出该机构在安全风险管理方面的目标应该加强安全管理机制的建立, 以及执行的力度和落实的程度。

4 结束语

本文引入AHP法, 结合具体案例, 对信息安全风险评估进行了指标的构建于实例分析, 并结合评估的指标建立了量化层次模型, 在此基础上给出了具体的计算方法, 通过实例验证了算法的准确性。

层次分析法是一种实用的多准则决策方法, 能对一些复杂的难以精确定量描述的决策问题进行量化分析, 本文对信息安全风险考评的研究就是多指标评价的例子, 将层次分析法应用于信息安全风险评估中, 有利于从定量角度分析安全管理水平。

摘要：本文引入AHP方法来为信息系统构建安全风险评估体系, 得出信息系统安全等级及对应分值, 实现对信息系统的安全性评价。

关键词：层次分析法,信息安全,一致性校正

参考文献

[1]陈朝阳, 路文杰, 俞会新.基于群体AH P方法的销售团队凝聚力分析[J].河北科技大学学报, 2009, 30 (3) :271-274.

[2]许敏, 宋亚欣.基于层次分析法的知识型员工绩效考核体系设计[J].河北科技大学学报, 2009, 30 (4) :365-369.

3.信息系统项目的风险管理探讨 篇三

关键词：信息系统项目；风险管理；探讨

中图分类号：TP393.07

信息系统项目的风险管理是当今企业关注的一个重点、难点问题，与此同时，信息系统项目风险管理给信息系统项目管理工作提供了一条新的思路和一个新的方法。项目风险管理工作重心是对项目目标的主动控制，将项目在实现过程中的风险和相关的干扰因素进行监控、管理，降低风险作用范围，降低和避免损失，保证项目的效率和效益最大化。企业信息系统项目在建设和运营是一个多变、动态、复杂、开放的过程，其面临的风险也日益突出，加强对信息系统项目风险管理迫在眉睫。

1 企业信息系统和风险管理的定义

所谓的企业信息系统是指企业中由人、计算机等组成的能够对信息进行收集、存贮、加工、传递、使用以及维护的系统[1]。

项目风险管理，是项目管理层及相关工作人员在整个项目工程的生命周期内，对项目存在风险进行识别、评价并且采取相关的管理措施进行有效控制的活动。

信息系统是一个多变、动态、复杂、开放的系统，其面临的风险也较为的复杂和多变，例如，出现项目实现时间多于计划时间，费用高于计划费用，相关系统的运行性能低于计划性能等等。这些问题的存在，必然要求对其进行风险管理。信息系统项目的风险管理是降低信息系统项目失误或者失败可能性的主要手段，企业的风险管理工作对项目的成本降低也有重要作用。

2 信息系统项目风险管理的相关操作步骤

信息系统项目因其开发存在的开放性和复杂性等特点，其风险管理即便进行了详细的计划、科学的分析，也依然会存在难以避免的突发情况。项目在实施的过程中，涉及的范围较大，时间空间跨度较大，存在很多的不稳定性、不准确性和不可预见性。这就要求项目的风险管理要求将所有的项目环节纳入其中，对项目进行全程的风险计划管理，保证项目工程顺利有效、保质保量的完成。有效的管理方法，首先需要企业制定项目的风险管理计划，预测可能出现的风险，保证风险的识别的准确性，通过对风险进行定性和定量，进而分析研究，得出最佳的应对策略，保证管理的针对性和准确性。

2.1 风险管理计划的制定

信息系统项目需要详细的计划和指导方针，而风险管理也需要详细的风险管理计划。风险管理计划是风险管理的重要环节，是风险分析、风险识别、风险监控的主要依据，也是风险措施的重要依据。

项目风险管理贯穿着整个项目生命周期，在项目的每一个阶段都需要对风险管理进行预测和规划，形成一份风险分析清单，进而制定出风险管理计划，保证风险管理工作的顺利进行[2]。通常的风险管理计划要包括：风险管理工作的操作步骤；风险管理参与人员的相关责任的划分；项目的预算；风险类别；不同风险的应对措施。与此同时，还需要制定相关的风险报告模板，保证风险管理计划实施时的沟通交流。

2.2 风险的识别工作

信息系统项目的风险管理是一个动态、复杂的过程，其风险难以控制，这要求企业积极进行风险的判断识别，保证风险管理工作的顺利进行。在实际的操作中，需要通过分析、评审、走查等方法来保证风险的识别准确性。并将识别出的风险进行详细的分类、分级，记录在案，还需要对其进行动态的更新，保证风险识别的准确性。

在实际的操作中，可以通过头脑风暴分析法，积极收集相关的信息，分析信息的隐藏内容，保证风险识别的准确性和及时性。需要注意的是，项目工作人员对项目风险的认知程度和积极性也是风险的一种。这要求，管理层积极对工作人员的每周工作报告进行分析研究，保证工作人员的工作积极性。与此同时，还需邀请相关的专家通过研讨会等方式，对项目的实施情况进行分析，保证潜在风险的识别。

2.3 风险的定性和定量分析

企业在风险识别的基础上，还需对风险的隐蔽性、潜在性和可能性进行分析，还需对风险可能导致的后果进行分析，进而针对性的进行估量、评价。在风险识别后，要对其可能导致的后果大小进行排序，保证管理人员的可以进行有效的参照，保证信息系统风险管理工作的有效性。

为保证风险应对的策略性，需要将风险进行定性分析，分析其可能性和相关后果。通常情况下，需要通过研讨会来完成，对风险的后果进行排序，邀请专业人士进行风险的定性分级，保证风险管理的可操作性和准确性。所谓的风险定量分析是指在特定的风险分析过程中，将风险的发生概率和对信息系统项目的影响后果进行量化。通常情况下，需要运用概率统计学方法对风险进行发生几率和后果进行估算，为风险管理提供参考资料。

2.4 风险防护措施和响应措施的制定

风险防护措施和响应措施的制定是建立在原有的风险分析识别上的，通过相关的经验、和对应的方法制定合理的措施，保证信息系统项目工作的顺利进行[3]。主要的风险应对措施有：（1）物理安全管理措施：保证信息系统的机房的安全，防止非授权人员进入。（2）数据备份和恢复措施：需对内部系统中的设备、数据、软件进行备份，保证系统恢复能力。（3）技术风险管理措施：积极更新风险信息，对相关人员进行考核培训，完善激励制度，防止人员流失带来项目风险。（4）应急措施：对网络紧急事件进行分析，制定出应急措施，保证系统应对突发事件能力。

2.5 风险的跟踪和监控

风险的跟踪和监控是指在信息系统实施的过程中，对风险的发生情况进行控制和对风险管理全过程进行监督。这需要企业对已知的风险状态进行跟踪研究，确认风险是否发生，并且监督风险应对措施是否有效，以及风险威胁是否消除，还会不会复发等；还需要企业积极的去识别可能存在的风险，分析去可能存在的危害，并制定相关应对措施，保证风险管理的持续性、动态性监控。通常情况下可以通过监控会议来完成对风险的跟踪和监控工作。每次风险监控会议都需对项目的风险、应对措施和跟踪情况进行评估、总结，保证跟踪和监控工作的有效性、准确性。

3 结语

信息系统项目的风险有极大的不确定性、隐蔽性和复杂性，在进行风险管理时，需要我们对项目工程生命周期内的风险进行及时而准确的分析研究，制定出严格的风险管理计划，将风险进行定性、定量，制定出针对性的风险应对措施，保证风险管理工作的顺利进行。企业分信息系统项目风险管理工作要重视每个管理环节，落实到实处，保证风险管理工作的有效性和及时性。

参考文献：

[1]马毅.安全评估项目中的项目风险管理[M].北京：北京邮电大学出版社，2009.

[2]卢加元.信息系统风险管理[M].北京：清华大学出版，2011.

[3]夏瑞峰，宁宣熙，余鸣.企业项目管理战略实施研究[J].管理工程学报，2010，10.

作者简介：郑侯颖（1977-），女，信息管理员，工程师，管理信息系统，学士学位。

4.工程项目安全评估报告 篇四

安4-4（编号：1）

单位名称

工程名称

12线23标

评估阶段

开工准备

评估日期

2010.3.5

评估人员

重

与

大

不

危

利

险

环

源

境

1、临时用电布置，为开工做准备。

2、彩钢板房搭建。

3、消防投入措施，排水系统。

自

运

我行

完

机

善

制

1、临时用电严格按方案布置，电箱和电缆做到三级配电三级保护。

2、彩板房（办公室、食堂、宿舍、厕所等）有专业队伍搭建，废弃材料及时每天清运出场。

遵

安

章

全

守

意

纪

识

专业电工布置安装电缆、电箱，电工必须持证上岗，进场时做进场安全教育、安全交底及三级教育，做好新工人现代化和管理化，并做好分布分项安全技术交底，逐步增强安全意志意识，特种工必须持有效证件上岗，必须有监护人及审批动火制度等相关手续。

经

验

及

做

法

不符合规定的用电设备必须做清退出场，不合格的大小型设备不许进场到工地内使用。

改

进

要

求

和

措

施

1、项目管理人员必须持有效证件上岗，各配置到位每一个环节，要加强监督管理。

2、临时用电要加大检查和巡视，要安全用电。

工程项目负责人：

填表人：

****年**月**日

****年**月**日

工程项目安全评估报告

安4-4（编号：2）

单位名称

工程名称

12线23标

评估阶段

地下连续墙施工

评估日期

2010.7.26

评估人员

重

与

大

不

危

利

险

环

源

境

1、成槽机大型设备（150T、80T）进场。

2、钢筋笼制作吊装作业。

3、安全用电（电焊作业）。

4、防汛防台工作。

5、泥浆池，泥浆清理作业。

6、挖掘机开挖沟槽道墙。

7、钢筋笼焊笼制作。

自

运

我行

完

机

善

制

1、现场成立安全监督小组，现场巡视高危作业。

2、每周项目部管理人员、监理和业主对现场安全大检查，现场安全员全天巡视。

3、加强加大大检查，不安全或违章作业进行处罚，奖罚分明，发现安全隐患及时处理，要及时消除在萌芽状态不安全隐患。

4、机械设备未检测及不合格不能投入使用，检测合格后方可使用，特种工种必须持有效的证件上岗。

遵

安

章

全

守

意

纪

识

1、加强日常检查监督，督促各分包队伍，做好安全管理和安全教育工作，职工要认识安全意志，防范存在安全隐患，增强及不断安全自我意识。

2、专业分包单位进场进行教育安全交底，工种分配明确及安全技术交底，安全意志增加。

经

验

及

做

法

1、安全员每天对施工现场进行认真巡察，发现违章、野蛮等施工及时制止。

2、在巡视中如果发现违章或不安全因素，已准照片及确有定理的资料，要加大处罚制度。

3、大型机械设备在起用前必须先试运好后方可投入使用。

改

进

要

求

和

措

施

1、对分包职工要加强安全教育和安全交底，落实到每位职工心里。

2、安全管理要与各分包队伍相结合，融合在一起，及时消除各不良的安全隐患。

工程项目负责人：

填表人：

****年**月**日

****年**月**日

工程项目安全评估报告

安4-4（编号：3）

单位名称

工程名称

12线23标

评估阶段

地下

评估日期

2010.8.16

评估人员

重

与

大

不

危

利

险

环

源

境

1、高温、台风、暴雨性季节。

2、加固施工对周边沉降及土质较差的环境进行观察，防止带来不必要的影响。

3、钢筋笼制作、吊装。

4、地下连续墙、成槽。

5、临时用电

自

运

我行

完

机

善

制

编制专项防汛、防台应急预案组织，项目管理化，加强对临房围护围挡等监测力度。

遵

安

章

全

守

意

纪

识

项目部管理人员对高温、台风暴雨的危害性有新的认识了解，安全意识普遍提高，为今后的各项工作打下良好的基础。

经

验

及

做

法

1、台风暴雨来临前，应急物资到位，并对临时设施进行全面检查，围墙必须做到万无一失。

2、对活动房进行检查、加固（防雷接地）其有良好的整体。

改

进

要

求

和

措

施

1、活动房搭建应考虑周边的地形环境，尽可能减少正面风力；

2、应急物资准备充足，台风来临做好临设的加固工作。

工程项目负责人：

填表人：

****年**月**日

****年**月**日

工程项目安全评估报告

安4-4（编号：4）

单位名称

工程名称

12线23标

评估阶段

地下

评估日期

2010.10.6

评估人员

重

与

大

不

危

利

险

环

源

境

1、暴雨性季节。

2、加固施工对周边沉降及土质较差的环境进行观察，防止带来不必要的影响。

3、深基坑开挖，基坑变形，流沙，漏水。

4、机械伤人，半径旋转。

5、临时用电

自

运

我行

完

机

善

制

编制专项应急预案组织，项目管理化，加强对临房围护围挡等监测力度。

遵

安

章

全

守

意

纪

识

项目部管理人员对深基坑及挖土工程危害性有新的认识了解，安全意识普遍提高，为今后的各项工作打下良好的基础。

经

验

及

做

法

1、深基坑漏水及流沙，应急物资到位，并对深基坑进行全面检查，围墙必须做到万无一失。

2对活动房进行检查、加固（防雷接地）其有良好的整体。

改

进

要

求

和

措

施

2、深基坑开挖前应考虑周边的地形环境，观测深基坑的监测和监护；

3、应急物资准备充足，深基坑堵漏加固工作。

工程项目负责人：

填表人：

****年**月**日

5.信息安全风险与信息安全体系结构 篇五

信息安全风险与信息安全体系结构

摘 要 在计算机、手机、电话等通讯技术迅速发展的今天，信息安全风险成为当下全社会关注的热点问题。作为信息系统安全开发中的引导和约束主体，网络的应用范围无疑是广大的，从最初的游侠网络发展到今时今日的网络区域性，然而在使用网络带来的方便同时人们也面临着网络带来的信息失窃泄露隐患，因此本文针对网络信息安全进行介绍，对网络安全系统的构建问题加以讨论。 关键词 信息安全;风险评估;预防措施 中图分类号：TP393 文献标识码：A 文章编号：1671-759718-0056-01 信息安全的概念经历了一个漫长的发展过程，20世纪90年代以来得到了深化，进入21世纪，日益凸显。信息的存在范围是巨大的，大方向可以影响国家政治与军事的走向，小到企业之间的公司机密的安全，个人的隐秘信息安全等。安全作为信息系统领域的一个重要问题，在信息作战环境中的信息安全尤其举足轻重。如今，网络快速发展，所以网络环境下的信息安全体系是保证信息安全的关键。新一代信息网络体系结构保障了人们的信息安全。 1 信息的发展 在刚刚过去的几十年时间里，人们的不断发明创造，让信息技术发生了日新月异的变化。在现代网络技术逐渐的发展取代了人们传统的信息结构，从以往的写信报纸到了在网络上可以实现多方面信息的获取，实现了人们异地交流同步的最终目的，虽然网络还处于发展初期，但是其影响力超过现代任何一种信息传递模式，为此人们对于网络的依赖性就越发严重。但是由于网络安全问题所带来的信息非法获取以及私人信息泄露、机密信息丢失等问题频繁发生，世界上很多国家都遭到了网络信息窃取所带来的巨大损失，为此不少西方国家率先提出一系列网络信息安全维护措施，但是由于网络自身的特点这些措施所取得的收效并不高。 2 信息安全的重要意义 信息安全不仅关系信息自身的安全，更是对国家安全具有重大战略价值。信息安全关涉一个国家的政治安全，经济问题以及文化问题。信息安全不是一个纯粹的技术问题。信息是国家的眼睛和窗户，为此在我国进入网络信息时代后就更要注重自身网络信息的安全性，信息主导着国家的舆论方向，因此一条错误的信息或扭曲的信息都会在网络环境内造成巨大的破坏，这种破坏是多方向的，可能会引起一系列现实社会中的不安和动荡，因此针对网络信息的特点就需要格外注意这一系列问题。随着信息技术的`不断发展，信息的负面影响不仅仅表现在企业的经济损失，各种关于信息安全的侵权行为也开始肆意横行，网络的快速发展也给这些侵权行为提供了良好的载体，还有各种国家的机密被盗事件的频繁发生等等。因此，信息安全不容忽视，特别是国家信息安全，办公信息系统安全更不容忽视。 3 漏洞扫描技术与网络信息安全管理 3.1 漏洞扫描技术 网络信息化是通过电子计算机网络进行数据共享的一个过程，因此在上网获取信息的同时在一定角度上来讲也属于暴露了个人的信息，因此在网路普及的过程中个人信息的丢失就成为现代人用网安全最需要关注的地方了。从网络数据的共享上来管制信息漏洞，防止信息非法获取以及病毒针对系统漏洞进行个人信息的窃取。漏洞扫描的结果实际上就是系统安全性能的一个评估报告，因此成为网络安全解决方案中的一个重要组成部分。 3.2 网络信息安全体系 网络资源的信息共享是现代计算机技术最为热门的一个方向。网络实现了交流的平台提供，并且对于一些相关的异地化进行同化信息操作，降低交流困难，但是在日益进步的网络信息时代网络信息安全问题又成了热门话题以及网络应用人员的安全隐患，信息安全管理不仅需要还需要合理的信息安全管理政策及制度，而且还需要好的信息安全体系来保障。而在网络技术如此广泛的普及之下，保证上网环境的安全是首要的任务，因此针对于这一问题就要针对以下三方面进行梳理，保证上网的环境安全性，第一确保上网系统漏洞的检测，对防火墙个人信息保护软件等软件进行漏洞修复，对上网条例进行所属签订，对网络环境进行优化检查删除恶意软件。 4 制定信息安全管理策略及制度 1)制度的建立过程是从基础开始做起的，因此为了确保我国网络使用安全以及相关信息保护措施的到位就必须完善相关监管部门的专业技术，作为问题处理的单位相关的监管人员网络安全技术过硬才能灵活应对各类突发事件，并且对于层出不穷的网络信息安全问题进行识别，此外还需要定时定期的培训以及技术经验交流以适应逐渐发展的网络环境。 2)制定信息安全管理制度应遵循如下统一的安全管理原则：①规范化原则;②系统化原则制定安全策略;③综合保障原则;④以人为本原则;⑤首长负责原则;⑥预防原则;⑦风险评估原则;⑧动态原则;⑨成本效益原则。 3)立法保护确保网络安全法的执行力度，吸收西方网络安全工作经验总结出一套适合中国的网络使用安全方案，确保网络信息不出现非法流失。 4)建立既符合我国国情又能跟国际接轨的信息安全策略，确保信息最高的安全程度，保障每一位公民能够切实享受到隐私权，保护每位合法公民的财产不被侵犯。更希望信息安全保护能够走到世界的前沿，保护国家信息的绝对安全。 5 信息安全系统工程 网络安全系统的开发是离不开以下几个方面的。 1)系统构建。系统的构建过程属于细致的专业的过程，因此需要系统开发人员有十分充分的开发技术，并且对开发出的安全系统经常性、周期性的进行维护、检测以及漏洞修复。 2)识别信息安全问题隐患。随着网络科技的发展窃取信息的方式变得越发多种多样，因此识别这些窃取信息的网络安全问题就十分重要。 3)是安全问题的处理。处理技术是随着网络更新换代而发展变化的，由于网络的发展周期太快因此处理问题的方法就不可以局限于时间段而需要及时的针对问题进行处理方式的进化更新，优化相应的处理方式和处理技巧。 6 结束语 信息技术的发展让人类开始步入信息化，网络化的时代，促进了社会的繁荣与进步，给人们的学习，工作，生活带来了极大的方便，也使人们对计算机网络的生活有着极大的依赖性，并且随着网络科技的发展人们的生活与网络的结合会越来越紧密。因此，信息安全成为社会各界关心的问题。它系着个人，企业乃至国家的命脉，一定做好信息安全保护工程。 参考文献 [1]陈媛媛.计算机网络安全与防范策略探析[J].山西煤炭管理干部学院学报，2013(02). [2]王林.计算机网络信息安全防护策略[J].信息安全与技术，2013(05).

6.项目信息安全风险评估 篇六

1.医院信息系统安全风险评估的概念

医院信息系统安全风险评估是指依据有关信息安全技术标准，对医院信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评价的活动过程，它要评价医院信息系统的脆弱性、医院信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的来识别医院信息系统的安全风险。2．国内外信息系统安全风险评估的概况

美国政府就发布了《自动化数据处理风险评估指南》。其后颁布的关于信息安全的基本政策文件《联邦信息资源安全》" 3．我国医院信息系统安全风险评估工作现状及存在的问题 4.医院信息系统安全风险评估工作流程(1)确定医院信息资产列表及信息资产价值(2)识别脆弱性(3)识别脆弱性

它可能存在于网络安全体系理论中网络应用所划分的’个层次，即网络层、系统层、用户层、应用层、数据层，(4)识别威胁

威胁来源应主要考虑这几个方面，即非授权故意行为、人为错误、软件设计错误带来的威胁、设备损坏、线路故障、自然灾害医院信息系统的安全威胁可通过部署入侵检测系统(,-.)，采集入侵者的,/地址及目的,/地址、目的端口、攻击特征、当前用户和进程等攻击信息，通过统计分析，从概率上分析一段时间内攻击的类型、强度和频度来获取，分析现有的安全控管措施

（5）确定可能性

(6)确定风险

(7)建议安全防护措施。

(8)记录结果

5.医院信息系统安全风险评估结果的处置措施

(1)避免：采取措施，完全消除医院信息系统的安全风险

(2)降低：采取措施降代风险造成实际损害的可能性，降低其影响。（3）接受

（4）转嫁：通过责任外包、保险等方式%(’转嫁：通过责任外包、保险等方式（5）回避

7.信息系统项目开发的风险识别 篇七

1 信息系统项目风险识别概念

1.1 信息系统项目风险管理

所谓信息系统项目风险管理, 就是通过对信息系统项目中的风险进行识别和分析, 最后评价, 达到认知风险的目的。并在此基础上, 通过各种方法和手段对信息系统项目中可能出现的风险进行有目的地把控, 最大程度减少可能存在的风险, 保证项目以最低成本正常运作。其中, 风险管理有五大步骤, 包括风险识别、风险分析、风险计划、风险跟踪和风险应对。

1.2 风险识别

风险识别是风险管理的第一步, 也是最关键的一步。风险识别的内容包括对风险的成因、特征以及后果进行识别。风险识别贯穿在风险管理的始终, 想要准确地对风险进行识别, 必须弄清信息系统开发过程中的未知因素。

1.2.1 内容未知

用户使用信息系统的原因就是想增强工作效率, 但是信息系统是一套非常复杂的计算机工程, 有时需要改进原有工程, 有时需要增加一些新功能。但是, 由于用户无法清楚表述对信息系统项目的需求, 导致信息系统项目开发产生风险。

1.2.2 时间未知

目前, 信息系统更新换代较快, 信息系统需要市场更新, 用户却希望信息系统开发的时间能够缩短。但是, 因为用户不能提供准确的内容要求和判断分析, 使信息系统开发的时间难以确定。

1.2.3 后果未知

信息系统的开发是非常具有创造力的, 信息系统的开发也是在不断创新的。在信息系统开发过程中会涉及到许多以前未涉及到的理念和手段, 所以人们也不可能对创造的结果进行精确断定, 结果能否满足人们的期望也是未知的。

2 信息系统项目风险识别的重要性

信息系统项目开发中的风险识别就是分析可能会影响信息系统项目成功与否的因素, 对可能出现的风险进行评估, 最后制定一系列措施减轻可能会造成的后果。信息系统项目的开发非常繁琐而复杂, 目前在我国对信息系统项目开发的风险意识不够高, 主要表现为在团队构成方面往往都是一些软件工程技术人员, 缺少专人对项目进行风险管理, 忽略了风险识别的过程。忽略风险不等于信息系统项目的开发不存在风险, 信息系统项目开发的风险是客观存在的, 在整个信息系统项目开发过程中都存在着各种各样的风险。所以, 必须加对强信息系统项目的风险识别, 只有这样才能保证信息系统项目开发的顺利进行。

3 信息系统项目风险识别的方法

3.1 收集项目相关信息

3.1.1 对用户的需求进行准确把握

在信息系统项目开发风险识别过程中, 必须要对客户的需求进行准确把握, 这就需要收集大量可能导致信息系统项目开发成败的资料和数据, 是影响信息系统项目开发成败的重要环节。这些数据和资料应该包括信息系统立项所依据的信息系统规划书;信息系统开发的可行性研究报告;业务调查收集到的基础数据、文件和报表;组织结构图、业务流程图、U/C矩阵图、数据流程图和数据字典等。

3.1.2 明确项目开发的影响因素

在信息系统项目开发过程中, 需要根据具体的系统开发项目来编写项目建议书、项目分析报告和项目设计报告。但是, 这些分析报告都是建立在大量的假设和前提上的, 具有预测性以及未知变换性。信息系统项目是随着开发过程不断变换的, 所以这些假设和前提在预测阶段是成立的, 有可能真正投入开发过程中却不一定成立。因此, 信息系统项目开发的假设和前提也具有一定的风险。

3.2 对风险进行评估

不仅需要明确信息系统的项目开发目标, 而且需要制定出信息系统项目开发的措施以及方式, 对信息系统项目开发的环境以及变量进行评估。

由于信息系统开发的目标是根据实际情况制定的, 在开发过程中具有一定的战略性。因此, 信息系统项目开发步骤必然是有战略规划性的, 一层一层剥离分解出来的。信息系统项目开发的方式大概包括关键成功因素法, 战略目标集转化法和企业系统规划法等。不管选择哪一种方式, 都是具有风险的, 并且是建立在目标明确的基础之上的。如果不能够明确掌握信息系统项目开发的目标, 就无法准确开展接下来的工作, 也无法保证目标能否实现。

信息系统项目开发过程中, 必须因地制宜地对风险进行评估, 选择不同的开发战略和方式。在信息系统项目开发目标变更时, 相应地调整信息系统项目开发战略, 同时相应地改变信息系统项目开发的方式。

3.3 对风险进行识别

通过对信息系统项目开发的风险进行评估, 可以重新审视信息系统项目开发的目标是否合理, 分析信息系统项目开发过程中存在的不确定因素, 辨别信息系统项目开发过程中可能存在的风险。信息系统项目开发的风险识别是非常重要的, 需要建立在足够了解信息系统项目开发过程的特征的基础上, 只有这样才能够合理运用各种技术手段和措施对收集到的风险信息进行客观准确地分析。对风险的识别主要包括以下几个方面。

第一, 风险来源描述。想要进行风险识别, 必须对风险来源进行详细分析, 这就需要构建客观完整的风险来源表。风险来源表主要包括可能出现的风险事件、出现的频率以及时间、风险会造成的后果等。

第二, 风险分类描述。在对风险来源进行分析之后, 就需要按照风险发生的时间和影响对风险进行分类。可以分成系统分析、设计、实施阶段的风险以及对业主或承包商的影响风险等。

第三, 风险症状描述。所谓风险症状是指风险发生之前所表露的特征, 对风险症状提前进行描述, 当风险出现的时候, 能够根据症状进行有效辨别, 从而对风险进行预警, 降低风险发生的几率。

第四, 管理措施的评估。风险识别不仅要识别风险因素, 而且还要对管理措施进行评估。

4 结语

风险贯穿在信息系统项目开发的始终, 风险管理是保证信息系统项目成功开发的基础, 风险识别又是风险管理中的关键所在。所以, 想要保证信息系统项目开发顺利实现, 就必须提高对信息系统项目的风险识别能力。

参考文献

[1]田中敏.论IT项目开发中的风险[J].武汉科技大学学报 (社会科学版) , 2002 (3) .

[2]孔学峰, 张志友.风险管理减少信息系统项目的失败[J].信息系统工程, 2003 (3) .

8.信息安全风险评估方法浅析 篇八

【关键词】信息系统；信息安全；风险评估；评估方法

【中图分类号】C931.6 【文献标识码】A 【文章编号】1672-5158（2012）09-0025-01

一、信息安全风险评估的评估实施流程

信息安全风险评估包括：资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议，在风险评估之后就是要进行安全整改。

网省公司信息系统风险评估的主要内容包括：资产评估、威胁评估、脆弱性评估和现有安全措施评估，一般采用全面风险评估的方法，以安全顾问访谈、管理问卷调查、安全文档分析等方式，并结合了漏洞扫描、人工安全检查等手段，对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估，经过充分的分析后，得到了信息系统的安全现状。

二、信息安全风险评估实施方法

2.1 资产评估

网省公司资产识别主要针对提供特定业务服务能力的应用系统展开，通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分，这四个部分在信息系统的实例中都显现为独立的资产实体，例如：典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。

2.2 威胁评估

威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中，根据各单位业务系统的具体系统情况，结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查，下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述：

2.3 脆弱性评估

脆弱性评估内容包括管理、运维和技术三方面的内容，具体实施可参照公司相应的技术或管理标准以及评估发起方的要求，根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考：

管理脆弱性：安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。

运维脆弱性：信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。

技术脆弱性：网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。

管理、运维、技术三方面脆弱性是相互关联的，管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生，运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行，运维和管理的脆弱性主要通过访谈和调查问卷来发现。此外，对以往的安全事件的统计和分析也是确定脆弱性的主要方法。

三、现有安全措施评估

通过现有安全措施指评估安全措施的部署、使用和管理情况，确定这些措施所保护的资产范围，以及对系统面临风险的消除程度。

3.1 安全技术措施评估

通过对各单位安全设备、防病毒系统的部署、使用和管理情况，对特征库的更新方式、以及最近更新时间，设备自身资源使用率（CPU、MEM、DISK）、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析，并确定级别。

3.2 安全管理措施评估

访谈被评估单位是否成立了信息安全领导小组，并以文件的形式明确了信息安全领导小组成员和相关职责，是否结合实际提出符合自身发展的信息化建设策略，其中包括是否制定了信息安全工作的总体方针和安全策略，建立健全了各类安全管理制度，对日常管理操作建立了规范的操作规程；定期组织全员学习国家有关信息安全政策、法规等。

3.3 物理与环境安全

查看被访谈单位信息机房是否有完善的物理环境保障措施，是否有健全的漏水监测系统，灭火系统是否安全可用，有无温湿度监测及越限报警功能，是否配备精密空调严格调节控制机房内温度及湿度，保障机房设备的良好运行环境。

3.4 应急响应与恢复管理

为正确、有效和快速处理网络信息系统突发事件，最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影響，需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制，应对网络信息系统突发事件的组织指挥能力和应急处置能力，是否及时修订本单位的网络信息系统突发事件应急预案，并进行严格的评审、发布。

3.5 安全整改

被评估单位根据信息安全风险评估结果，对本单位存在的安全风险进行整改消除，从安全技术及安全管理两方面，落实信息安全风险控制及管理，确保信息系统安全稳定运行。

四、结语

公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施，各单位结合风险评估实践情况，以技术促安全、以管理保安全，确保公司信息系统稳定运行，为公司发展提供有力信息支撑。

参考文献

[1]中国国家标准化管理委员会，信息安全技术一信息安全风险评估规范，2007年